Биометрические данные все активнее используются в самых разных сферах жизни, к примеру, для оплаты проезда в метро. При этом мало кто задумывается, как система вас узнает, где ваше «лицо» хранится, кто и как эти данные защищает.
О кардинальных изменениях в сфере биометрии, загадочных буквах «КБС» и «ЕБС», а также о том, как это влияет на жизнь людей и бизнес, рассказывает Алексей Курсин, партнер, директор по технологиям и инновациям компании Pridex.
Содержание:
- Что такое биометрия и ЕБС
- Для чего нужно передавать биометрию
- Как раньше регулировалась биометрия
- Для чего нужна Единая биометрическая система
- Новый закон о Единой биометрической системе
- Что изменилось с принятием нового закона
- Как предоставлять «биометрические сервисы» в новых условиях
- Как можно отказаться от использования биометрии
Что такое биометрия и ЕБС
Разговор о биометрии стоит начать с более привычной части нашей жизни — персональных данных, согласие на обработку которых мы даем уже 17 лет (с 2007 года).
Персональные данные — это, согласно 152-ФЗ, информация, прямо или косвенно относящаяся к физическому лицу и позволяющая его определить. К ним, например, относятся паспортные данные, номер телефона, e-mail — все то, что мы предоставляем при оформлении договоров, в том числе при трудоустройстве, получении дисконтных карт в торговых сетях, подписке на рассылки, изучении веб-сайтов и так далее.
Развитие технологий влечет за собой появление новых способов идентификации личности, а именно — по биометрическим данным, таким как изображение лица, голос, отпечатки пальцев и другие. В отличие от персональных данных, биометрические позволяют достоверно опознать конкретного человека.
Хотя и сейчас часто возникают вопросы, что такое биометрия, использование биометрических данных на государственном уровне началось достаточно давно: с 2006 года возможно получение биометрического паспорта, а страны ЕС и США на протяжении многих лет собирали биометрию через российские визовые центры при выдаче визы.
В коммерческой сфере широкое распространение биометрических данных для аутентификации граждан стало происходить сравнительно недавно. Одним из «пилотных» проектов можно назвать оплату поездки в Московском метро по лицевой биометрии, которую начали внедрять в 2019 году.
Для чего еще нужна биометрия? Сегодня технологии на основе Face ID используются для доступа в бизнес-центры, складские комплексы, на производства, строительные объекты и во многие коммерческие организации, которые за счет биометрии повышают безопасность: подделать биометрию кратно сложнее, чем, например, воспользоваться утерянным документом.
Компании из финансовой сферы активно применяют биометрию, в том числе лицевую и отпечатки пальцев, для подтверждения транзакций.
Широкое использование биометрии остро поставило вопросы о безопасности хранения и обработки этих данных. Не секрет, что утечка персональных данных — номеров телефонов, адресов и паспортных данных — происходила нередко, что выявляло очевидные недостатки в охране этих данных коммерческими организациями. С учетом высокой значимости и той степени персонализации, которую дает биометрия, стало очевидно, что ее защита должна происходить на максимальном — государственном — уровне.
В результате в 2018 году по инициативе Минцифры была создана Единая биометрическая система, или ЕБС, которая хранит биометрические персональные данные граждан в обезличенном виде и по ним строит уникальные эталонные векторы для идентификации. В 2021 году ЕБС получила статус государственной информационной системы.
Для чего нужно передавать биометрию
Использование биометрии позволяет защитить ваши персональные данные от утечек и мошенничества и усилить безопасность операций. Биометрические технологии применяются для удобной и безопасной идентификации в различных сферах — оплата проезда, подтверждение банковских транзакций, вход в здания и на объекты.
Разберем на двух примерах, как прежде происходила передача биометрии. Первый пример — проход в метро. Для оплаты проезда по лицевой биометрии было необходимо загрузить свою портретную фотографию в приложение, с ней в дальнейшем терминалы в метро «сверяли» вас при проходе и списания средств. Эта биометрия хранилась в нескольких контурах, в том числе самого метрополитена и банка-оператора системы — ВТБ.
Второй пример — СКУД в объектах. При приеме на работу, которая предполагает проход в здания по лицевой биометрии, было необходимо передать фото работодателю, оно загружалось, к примеру, в 1С, которая далее синхронизировалась с системой управления доступом.
Как раньше регулировалась биометрия
Использование биометрических данных прежде регулировалось 152-ФЗ как часть персональных данных, их хранение и обработка доверялись коммерческим организациям. Таким образом, у биометрии не было особого охранного режима, несмотря на высокую степень важности этих данных. В результате в случае, например, со СКУД любой сотрудник организации, который имел доступ к системе, мог выгрузить ваши биометрические данные.
Для чего нужна Единая биометрическая система
До недавнего времени сфера применения биометрических данных в России не была должным образом урегулирована на законодательном уровне. Такая ситуация создавала риски утечки и незаконного использования биометрических персональных данных, так как они хранились множеством различных коммерческих организаций с разными уровнями защиты информации.
Федеральный закон о ЕБС (ФЗ-572) вводит единые правила безопасного сбора, хранения и использования биометрических персональных данных граждан. Создается единая система биометрических данных.
Теперь данные в зашифрованном виде консолидированы в государственной системе с высоким уровнем защиты. При этом в ЕБС не хранятся персональные данные — например, ФИО или телефон, а значит даже в случае их утечки биометрия не может быть соотнесена с конкретным человеком.
Все это направлено на повышение безопасности и защиту биометрических персональных данных граждан от возможных утечек и злоупотреблений. Консолидация данных снижает риски их попадания в руки злоумышленников.
По теме: Электронный документооборот (ЭДО): список сервисов и систем
Новый закон о Единой биометрической системе
ФЗ-572 называют новым, при этом принят он был еще в 2022 году, а в декабре 2023 года в силу вступили его нормы, которые касаются порядка сбора и обработки биометрии. В частности, закон ввел новое понятие — КБС, или коммерческая биометрическая система, которая может проводить обработку биометрических данных после прохождения сложной процедуры аккредитации.
Новые правила ориентированы в первую очередь на финансовый сектор, то есть на банки, которые верифицируют клиентов по биометрическим данным.
Что изменилось с принятием нового закона
Изучим изменения на примере оплаты проезда в метро по лицевой биометрии. Раньше все процессы сбора, обработки и верификации изображения пользователя, его идентификации и проведения оплаты проходили внутри IT-инфраструктуры транспортного оператора/банка.
Теперь терминал считывает биометрические данные пользователя и в зашифрованном виде направляет их в аккредитованную КБС. Далее КБС сопоставляет полученные данные со своей базой эталонных биометрических векторов, полученных из ЕБС, идентифицирует личность и отправляет ответ обратно в систему. Именно КБС взаимодействует с банковской IT-средой для проведения транзакции по оплате.
Таким образом, сами биометрические данные граждан не покидают пределы защищенной государственной системы ЕБС либо аккредитованной КБС и не передаются сторонним организациям. К биометрии имеют доступ только аккредитованные КБС, прошедшие серьезные проверки на соблюдение высоких требований информационной безопасности.
Как предоставлять «биометрические сервисы» в новых условиях
Давайте рассмотрим три основных способа предоставления сервисов на основе биометрических персональных данных после принятия ФЗ-572.
1. Транзакционная модель — прямое взаимодействие с ЕБС организации, которая хочет внедрить биометрическую аутентификацию, например, для входа на свою территорию, с оплатой за каждый факт аутентификации. По такой модели, согласно закону, обязаны работать субъекты атомной промышленности, ТЭК, ОПК.
2. Получение организацией аккредитации КБС для использования векторов в своих процессах. Мы в рамках компании «Инновационные технологии», входящей в Pridex, прошли процесс аккредитации и являемся аккредитованным КБС. Стоит отметить, что требования к КБС, изначально сформированные на базе финансового сектора, касаются как параметров юридического лица, так и используемых технологий, и являются крайне высокими. В частности, собственный капитал аккредитуемого юрлица должен превышать 500 млн рублей, а применяться должны только российские алгоритмы, прошедшие тщательное тестирование специалистами Центра биометрических технологий (ЦБТ) — оператора ЕБС.
В настоящий момент аккредитовано только девять компаний, включая шесть банков («АК Барс», «Альфа-банк», ВТБ, «Почта Банк», РСХБ, Сбербанк), один оператор связи — МТС и две компании, оказывающие сервисы для работы в составе СКУД — Ovision и Pridex («Инновационные технологии»).
3. Интеграция систем организации с уже аккредитованной сторонней КБС для биометрической аутентификации. На сегодня этот формат является самым востребованным: как аккредитованный КБС, мы сегодня видим огромный спрос от компаний, которые уже применяют лицевую биометрию в своем бизнесе и ищут варианты продолжать работать с ней в условиях нового закона.
Сегодня всем компаниям, которые намерены за счет технологии Face ID обеспечивать безопасный доступ на свою территорию для сотрудников и клиентов — будь то офис, фитнес-клуб, склад, производство или строительная площадка — необходимо проанализировать системы доступа, использующиеся на них технологии и привести их в соответствие с нормами.
Спрос на консалтинг и внедрение отечественных технологий с конца 2023 года вырос в несколько раз.
По теме: Двухфакторная аутентификация на «Госуслугах» стала обязательной для всех пользователей
Как можно отказаться от использования биометрии
Граждане вправе отказаться от передачи своих биометрических данных в ЕБС, подав соответствующее заявление в МФЦ или через портал Госуслуг. В этом случае использование биометрических систем для них будет невозможно, их фото будет удалено из ЕБС, а вектор — из ЕБС и тех КБС, которые ранее его получили.
При этом мы понимаем, что на долгосрочной дистанции использование биометрии будет получать все более широкое распространение, что будет стимулировать граждан соглашаться на ее использование. Очевидно, что возврат к «небиометрическим» сервисам снижает удобство и скорость их предоставления, поэтому это скорее вопрос времени и привычки.
Государство, со своей стороны, будет расширять список сервисов, которые предоставляются по биометрии, повышая тем самым их привлекательность и стимулируя развитие сферы биометрических данных.
В заключение отмечу, что появление ЕБС и новых строгих правил — важный шаг в части повышения информационной безопасности и защиты персональных данных. Централизованное государственное хранение биометрии под жестким контролем исключает утечки и незаконное использование этой конфиденциальной информации. В условиях современных рисков и угроз обеспечение высокого уровня кибербезопасности становится критически важным.
Фото на обложке:
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 В помощь юристам: как развивается рынок LegalTech и что ему мешает
- 2 RegTech по-русски: как поменялся рынок распознавания документов за последние недели и какие решения нужны отрасли?
- 3 Монетизируй это: как заработать на архиве документов компании
- 4 Девять курсов по финтеху для профессионалов и новичков
- 5 Что происходит на российском RegTech-рынке?
ВОЗМОЖНОСТИ
30 апреля 2024
30 апреля 2024